Magistr
Magistr, a volte chiamato Disemboweler, è un pericoloso worm virale a diffusione tramite email che infetta i sistemi Windows 9x così come i sistemi Windows NT. Esso si diffonde su altri computer tramite email e infetta file. Inoltre, Magistr ha un payload molto pericoloso che cancella file e distrugge il chip BIOS. È comparabile con altri potenzialmente distruttivi, come CIH, MyPics e Kriz. Ha anche delle funzionalità in comune con Dengue. Magistr, per via delle sue dimensioni e varietà enormi di payload, è uno dei virus più complessi mai creati. Comportamento Quando un file infettato da Magistr è eseguito, esso prova a caricarsi nella memoria modificando il processo Explorer.exe con una routine di 110 byte che carica il resto del virus nella memoria di Explorer. La funzione TranslateMessage è alterata per indirizzare a quel codice, operando così nella memoria come un thread del processo Explorer. Dopo il completamento questa parte dell'infezione, il worm dorme per tre minuti. Poi Magistr trova il nome del computer infetto e lo converte in una stringa a base 64. A seconda della prima lettera della stringa, esso crea un file nella cartella Windows, nella cartella dei programmi o nella root dell'hard drive. Questo file conterrà informazioni che includono la ubicazione delle rubriche e la data di infezione. Magistr ottiene l'indirizzo email attuale dell'utente, per poi controllare il registro per Outlook, Exchange, Internet Mail e News, poi passando al file Prefs.js per Netscape; lo aggiunge ad una lista dei dieci indirizzi email infettati da esso più recenti. Magistr controlla la presenza di una connessione ad Internet attiva e, se ce n'è una, inizia a costruire una email per inviare un file infetto. Il virus cerca nel sistema dei file .doc e .txt e userà del testo scelto a caso da uno di essi per scrivere il corpo e il titolo dell'email in cui si autoinvierà. C'è una possibilità del 20% che Magistr alleghi il file che ha scelto all'email. Alcune fonti riportano che è in grado di inviare fino a sei file. Cerca la presenza di fino a venti file .exe e .scr minori di 128 kilobytes e infetta uno di essi. Il file infettato sarà allegato all'email. Dopo che l'email è stata inviata, Magistr the mail has been sent, Magistr Cerca la presenza di fino a venti file .exe e .scr nel sistema locale e nella rete e infetta uno di essi. Se la cartella Windows è nominata Winnt, Win95, Win98 o Windows, c'è una probabilità del 25% che il virus sposti il file infetto in quella cartella e apportare una piccola modifica al nome del file, e aggiunge una linea "run=" line (vecchio equivalente alle chiavi del registro di sistema Esegui) al file Win.ini con nome e percorso del file infettato aggiuntivi. Negli altri casi, il virus aggiunge il nome del file infetto (senza estensione) come sottochiave della chiave HKEY_LOCAL_MACHINE e nome completo e percorso del file a questa sottochiave. Infezione dei file Al punto di entrata del file infetto vi saranno 512 byte di codice spazzatura che trasferisce il controllo del programma al virus. Magistr cripta il suo codice principale con un motore polimorfo e si autoallega al file. Un file infetto non sarà eseguito dopo l'infezione, quindi l'utente non lo noterà da un programma che si apre a caso ogni volta che il computer è acceso. Payload Dopo che il computer è stato infettato per un mese, 100 email sono state inviate con il virus e tre file nel sistema contengono testo inerente a processi penali, Magistr attiva il suo payload: cancella ogni file infetto e sovrascrive ogni 25° file di testo che trova sul sistema con "YOUARESHIT" ("sei una merda") tante volte quanto possibile in ogni file; ciò corrompe i file infetti. Il payload di Magistr può anche rendere un sistema inutilizzabile. Cancella ogni altro file nel sistema e mostrerà il seguente messaggio volgare: *Another haughty bloodsucker....... *YOU THINK YOU ARE GOD,BUT YOU ARE ONLY A CHUNK OF SHIT. Traduzione: Un'altra sprezzante sanguisuga....... PENSI DI ESSERE DIO,MA SEI SOLO UN PEZZO DI MERDA. Se l'utente clicca su OK e il sistema è Windows 9x, il virus sovrascrive un settore del primo hard disk in un loop infinito, facendo bloccare il computer (al contrario, su Windows NT, non succede niente alla premuta di OK). Su Windows 9x, cancellerà il CMOS e, se possibile, il BIOS. Ciò può rendere il computer inavviabile, condividendo tratti da CIH, CMOSDead, Kriz, FlashKiller, Mypics, AntiCMOS, Bumerang e tanti altri. Se il computer sopravvive all'attacco contro il CMOS o il BIOS, i file di avvio saranno comunque cancellati o sovrascritti, rendendo così il sistema non più in grado di avviarsi e richiedendo una reinstallazione di Windows. Se il virus è stato sul sistema per due mesi (e presumendo che il sistema funzioni ancora), nei giorni dispari, riposizionerà le icone del desktop quando il cursore ci passa sopra, come se stessero scappando via, come nel primo payload di Shoerec. Se il sistema è stato infettato per tre mesi e funziona ancora, il comando Esegui del file infettato è cancellato, assieme ad altri, ma non mostra messaggi né attacca BIOS o CMOS, rendendo così il computer non in grado di avviarsi per via della cancellazione dei file di avvio. Se un debugger è trovato in qualunque momento e il debugger è eseguito, Magistr causerà un Errore di Protezione Generale e farà sì che o l'applicazione o il computer si blocchino. Varianti Esiste almeno una variante nota. Quando infetta su una rete, Magistr.B si autoregistra nei file WIN.INI e SYSTEM.INI nel sistema bersaglio. In WIN.INI, il virus si autoregistra in "Run=" nella sezione Windows. In SYSTEM.INI, si autoregistra in "Shell=" nella sezione di avvio. Quando infetta un file, la variante si cripta con una chiave che usa il nome del computer come una variabile, rendendo la disinfezione di questi file più difficile. Non cripta i file di dimensioni minori di 131 kilobytes o file infetti su un computer remoto. Assieme agli altri nomi per la cartella Windows, Magistr.B controlla nuovi nomi, come WINME, WIN2000, WIN2K and WINXP, nomi comuni utilizzati se l'utente esegue questa variante su Windows 2000, ME oppure XP. Come l'originale, esso può allegare un file .doc assieme ad una copia di se stesso, ma può anche allegare un file immagine .gif alla sua email. Il payload di questa variante aggiunge la possibilità di distruggere i file .ntz usati da alcuni programmi antivirus. Magistr.B prova anche a disattivare il firewall ZoneAlarm, ma fallisce; non si sa se questo insuccesso è corretto in una eventuale variante. La variante sovrascrive Win.com nella cartella Windows e NTLDR nella root del drive C: con del codice che sovrascrive l'hard drive all'avvio del sistema. Effetti Magistr è spesso utilizzato da esempio del perché virus e worm molto distruttivi non si diffondono molto. Inoltre, il virus dà così tanti messaggi di avvertimento che l'utente capisce che c'è qualcosa che non va prima che il virus possa provocare danni effettivi. Un esperto di sicurezza sostenne di aver visto solo un caso dove il virus è riuscito a fare tutte le cose che mirava a fare e lo attribuì al fatto che c'erano molti fastidi. Origini Magistr è stato codificato in Assembly, anche se le sue dimensioni di quasi 30 kilobyte lo fanno sembrare alquanto largo per qualcosa scritto in Assembly. Il suo programmatore è The Judges Disembowler, basato in Svezia; non si sa se si tratta di una persona singola o di un gruppo. Da allora non ha rilasciato nulla di impatto notevole. Per via della complessità di questo virus, in particolare il suo payload, si crede che questi abbia una conoscenza avanzata dei computer. Fonti Peter Ferrie. Symantec, W32.Magistr.24876@mm. 2007.02.13 F-Secure, Worm:W32/Magistr. Tom Mainelli. PCWorld, Magistr Worm Emerges, Scarce But Deadly. 2001.03.16 Andrew Grygus. Automation Access, Microsoft Hides Behind Linux - as Worms Eat Windows, Why It's Going to Get a Lot Worse. 2003.08.23-09.10 Kaspersky Lab, Magistr: A Recipe Of Blending Virus and Worm with Some Multilevel Polymorphism Flavour. 2001.03.14 Categoria:Worm Categoria:Win32 Categoria:Worm a diffusione tramite email en:Magistr